Datenschutzgrundverordnung
Alles neu, alles anders? – Ein Überblick Teil 3
Über viele Änderungen, die sich aufgrund der neuen Datenschutzgrundverordnung (DS-GVO) ab dem 25. Mai 2018 für Unternehmen ergeben, haben wir an dieser Stelle bereits informiert. Im vorletzten Teil dieses Überblickes soll auf weitere Änderung eingegangen werden, die sich für Unternehmen ergeben, die gewerbsmäßig personenbezogene Daten verarbeiten. Eine dieser Änderung betrifft die Auftragsdatenverarbeitung. Hier ändert sich zunächst die Begrifflichkeit, es heißt nunmehr nur noch Auftragsverarbeiter. Auch die DS-GVO kennt die Auftragsverarbeitung, es sind nach wie vor technische und organisatorische Maßnahmen (TOMs) zu treffen, um den Schutz und die Sicherheit der personenbezogenen Daten zu gewährleisten. Der Katalog wurde jedoch verdichtet, das Gebot der Pseudonymisierung kam neu hinzu. Inhaltlich bleiben die TOMs dem Grunde nach allerdings bestehen. Auch die Haftung des Auftragsverarbeiters wird mit der DS-GVO verschärft. Bisher lag die Verantwortlichkeit für die Verarbeitung ausschließlich bei der erhebenden Stelle. Durch die DS-GVO wird der Auftragnehmer für die Verarbeitung der Daten mitverantwortlich. An zahlreichen Stellen finden sich selbständige Pflichten für den Auftragsverarbeiter, so z.B. die Pflicht, ein Verfahrensverzeichnis zu führen, oder die Pflicht, einen Datenschutzbeauftragten zu bestellen. Auch die DS-GVO kennt noch die besonderen Kategorien personenbezogener Daten und stellt diese unter einen besonderen Schutz. Dabei hat sich an der Art der Daten, die in diese Kategorie fallen, nichts geändert. Eine Verarbeitung dieser Daten ist nach wie vor nur aufgrund einer Einwilligung möglich. Neu ist jedoch, dass Gesundheitsdaten nunmehr legal definiert wurden. Der Begriff ist weit zu verstehen und umfasst alle Informationen über den körperlichen Zustand von ärztlichen Untersuchungen bis hin zu Messungen aus dem Fitnessbereich.
Hierauf wird sich die Fitnessbranche einschließlich der Anbieter diverser Apps zur Leistungsmessung einstellen müssen.
Wie bereits ausgeführt, bedarf jede Datenverarbeitung einer Rechtsgrundlage. Die DS-GVO kennt nun den Vertrag als eigenen Erlaubnistatbestand. Allerdings sind Daten, die zur Begründung eines Vertrages notwendig sind, nur dann von der DS-GVO erfasst, wenn es eine Anfrage des Betroffenen gegeben hat. Umfasst hiervon sind auch Verarbeitungen, die zur Vorbereitung eines Vertrages erforderlich sind. Erweitert wurde jedoch die Erlaubnis zur Datenerhebung zu eigenen Geschäftszwecken. Dies wird nunmehr unter „berechtigtes Interesse“ zusammengefasst. Demnach ist jede Datenverarbeitung zulässig, wenn sie für die Verfolgten und berechtigten Interessen der erhebenden Stelle erforderlich ist. Unzulässig ist die Verarbeitung jedoch, wenn schutzwürdige Interessen des Betroffenen die Interessen des Verantwortlichen überwiegen. Hier ist also jeweils eine Abwägung vorzunehmen. Der Begriff des „berechtigten Interesses“ kann jedoch sehr weit ausgelegt werden. Es kann hier praktisch jedes wirtschaftliche oder ideelle Interesse herangezogen werden. Allerdings ist einschränkend zu beachten, dass bei der Beurteilung, ob ein berechtigtes Interesse vorliegt, die vernünftigen Erwartungen des Betroffenen zu berücksichtigen sind. Dabei ist zu berücksichtigen, in welchem Verhältnis sich Betroffener und Verantwortlicher gegenüberstehen. Die Abwägungen, die hier getroffen werden müssen, sind nicht immer klar.
Ihr Anwalt für Datenschutz steht Ihnen hierbei gerne beratend zur Seite. Wenden Sie sich in allen Fragen rund um den Datenschutz vertrauensvoll an uns – Ihre Kanzlei zum Thema Datenschutz.
Rechtsanwältin Friederike Lemme, März 2018 · Berlin